Wer ein Unternehmensarchiv auflöst, steht vor einer oft unterschätzten rechtlichen Herausforderung: Frachtunterlagen, Lieferscheine, Zolldokumente und Spediteursakten enthalten eine Fülle personenbezogener und geschäftskritischer Daten. Datenschutz bei der Aktenvernichtung ist deshalb kein rein bürokratisches Thema, sondern eine ernsthafte Compliance-Pflicht. Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) verpflichten Unternehmen, auch bei der Entsorgung solcher Unterlagen die Vertraulichkeit personenbezogener Daten sicherzustellen. Verstöße können empfindliche Bußgelder nach sich ziehen.
Das Wichtigste in Kürze
- DSGVO-Pflicht: Frachtunterlagen enthalten personenbezogene Daten – ihre Vernichtung ist eine rechtliche Compliance-Pflicht, kein optionaler Aufwand.
- Aufbewahrungsfristen: HGB (§ 257) und AO (§ 147) schreiben für Frachtbriefe und Lieferscheine Fristen von bis zu zehn Jahren vor – danach besteht aktive Löschpflicht.
- DIN 66399 – Schutzklasse 2: Typische Frachtunterlagen mit Namen, Adressen und Unterschriften fallen in Schutzklasse 2 und erfordern mindestens Sicherheitsstufe P-3.
- Auftragsverarbeitung: Wird ein externer Vernichtungsdienstleister beauftragt, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich.
- Vernichtungsnachweis: Datum, Art, Menge, Sicherheitsstufe und Dienstleister-Zertifizierung müssen dokumentiert und dauerhaft aufbewahrt werden.
- Sichere Zwischenlagerung: Dokumente müssen auch vor der Vernichtung in abschließbaren Behältern mit geregeltem Zugang geschützt werden.
- Strukturiertes Vorgehen: Bestandsaufnahme → Klassifizierung → Dienstleisterauswahl → AVV → Übergabe → Archivierung der Nachweise.
Gerade im Transport- und Logistiksektor, wo Dokumentenvolumen und gesetzliche Aufbewahrungsfristen zusammentreffen, besteht erheblicher Klärungsbedarf: Welche Unterlagen fallen unter welche Schutzklasse? Welche technischen und organisatorischen Maßnahmen sind vorgeschrieben? Und wie läuft eine rechtssichere Archivauflösung in der Praxis ab? Dieser Artikel gibt einen fundierten Überblick.
Welche Daten stecken in Frachtunterlagen?
Personenbezogene Daten in logistischen Dokumenten
Frachtunterlagen sind auf den ersten Blick technische Dokumente – doch sie enthalten regelmäßig personenbezogene Daten im Sinne der DSGVO. Das betrifft unter anderem:
- Namen und Adressen von Absenderinnen und Empfängern (Privatpersonen wie Unternehmen)
- Unterschriften auf Empfangsbestätigungen und Frachtbriefen
- Kontaktdaten von Fahrerinnen und Fahrern sowie Disponenten
- Kundennummern, die Rückschlüsse auf individuelle Personen ermöglichen
Sobald natürliche Personen identifiziert oder identifizierbar sind, greift der volle Schutz der DSGVO. Das gilt auch dann, wenn Frachtunterlagen primär für betriebliche Zwecke erstellt wurden.
Geschäftsgeheimnisse und vertrauliche Handelsdaten
Neben personenbezogenen Daten enthalten Frachtunterlagen häufig Informationen, die als Geschäftsgeheimnisse im Sinne des Geschäftsgeheimnisgesetzes (GeschGehG) einzustufen sind. Lieferbeziehungen, Konditionen, Liefermengen und Lieferfrequenzen geben Aufschluss über Geschäftsstrategien und Wettbewerbsvorteile. Auch diese Daten müssen bei der Entsorgung geschützt werden.
Besondere Kategorien und sensible Sonderfälle
In bestimmten Bereichen – etwa bei Pharmaspediteuren, Rüstungslieferanten oder im Bereich humanitärer Güter – können Frachtunterlagen besonders sensible Informationen enthalten. Hier gelten gegebenenfalls erhöhte Schutzanforderungen, die über die Standardanforderungen der DSGVO hinausgehen.
Rechtliche Grundlagen: DSGVO, BDSG und handelsrechtliche Aufbewahrungspflichten
DSGVO-Anforderungen an die Datenlöschung
Die DSGVO schreibt in Art. 5 Abs. 1 lit. e vor, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den Verarbeitungszweck erforderlich ist. Nach Ablauf der relevanten Aufbewahrungsfristen besteht eine aktive Löschpflicht. Das gilt für physische Dokumente ebenso wie für digitale Unterlagen. Wer Dokumente einfach entsorgt, ohne den Datenschutz zu berücksichtigen, verstößt gegen diese Pflicht. Mehr zu den rechtlichen Rahmenbedingungen in der Logistik findest du in unserem Artikel zur ADSp 2017 und Haftungsfragen.
Handels- und steuerrechtliche Aufbewahrungsfristen
Das Handelsgesetzbuch (§ 257 HGB) und die Abgabenordnung (§ 147 AO) schreiben für viele Frachtunterlagen Aufbewahrungsfristen von sechs bis zehn Jahren vor. Frachtbriefe, Lieferscheine und Rechnungen fallen in der Regel unter die zehnjährige Frist. Erst nach Ablauf dieser Fristen darf eine Vernichtung rechtlich erfolgen – und muss es gemäß DSGVO auch.
Auftragsverarbeitung und Dokumentationspflichten
Wird die Vernichtung an einen externen Dienstleister übergeben, handelt es sich datenschutzrechtlich um eine Auftragsverarbeitung nach Art. 28 DSGVO. Es muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Darin werden Zweck, Umfang und technisch-organisatorische Maßnahmen des Dienstleisters verbindlich geregelt. Ohne diesen Vertrag ist die Beauftragung eines Vernichtungsdienstleisters rechtswidrig.
Sicherheitsstufen nach DIN 66399: Welche Schutzklasse gilt für Frachtunterlagen?
Das Stufensystem der Norm
Die DIN 66399 definiert drei Schutzklassen und sieben Sicherheitsstufen für die Vernichtung von Datenträgern. Für Papierdokumente gilt:
- Schutzklasse 1 (Sicherheitsstufen 1–2): Interne Daten ohne besonderen Schutzbedarf
- Schutzklasse 2 (Sicherheitsstufen 3–4): Personenbezogene Daten, Betriebs- und Geschäftsgeheimnisse
- Schutzklasse 3 (Sicherheitsstufen 5–7): Besonders schutzbedürftige Daten, strenge staatliche Anforderungen
Handelsübliche Frachtunterlagen fallen typischerweise in Schutzklasse 2. Der Dienstleister muss nachweisen können, dass die Vernichtung tatsächlich der vereinbarten Sicherheitsstufe entspricht.
Praktische Bedeutung für die Archivauflösung
Bei einer Archivauflösung mit großen Mengen an Frachtunterlagen empfiehlt es sich, eine Sichtung und Klassifizierung vorzunehmen, bevor ein Vernichtungsauftrag erteilt wird. Nicht alle Unterlagen im Archiv sind automatisch der gleichen Schutzklasse zuzuordnen – je nach Inhalt können abgestufte Anforderungen gelten.
Organisatorische Anforderungen an den Vernichtungsprozess
Lückenlose Vernichtungsnachweise
Ein zentrales Element des datenschutzkonformen Umgangs mit Frachtunterlagen ist die Dokumentation. Unternehmen benötigen Vernichtungsnachweise, die mindestens folgende Angaben enthalten: Datum der Vernichtung, Art und Menge der vernichteten Unterlagen, angewandte Sicherheitsstufe sowie Name und Zertifizierung des Dienstleisters. Diese Nachweise sind aufzubewahren und bei Datenschutzprüfungen vorzulegen.
Sichere Zwischenlagerung vor der Vernichtung
Zwischen dem Aussortieren der Unterlagen aus dem Archiv und der tatsächlichen Vernichtung entsteht eine sensible Übergangsphase. Die Dokumente müssen auch in dieser Phase vor unbefugtem Zugriff geschützt werden – durch abschließbare Sammelbehälter, gesicherte Transportwege und klare Zugangsregelungen.
Mitarbeiter-Sensibilisierung und interne Prozesse
Mitarbeiterinnen und Mitarbeiter, die mit der Archivauflösung betraut sind, müssen über die datenschutzrechtlichen Anforderungen informiert sein. Dazu gehören klare Anweisungen, welche Unterlagen wie entsorgt werden dürfen, und eine Verpflichtung zur Vertraulichkeit. Ein ähnliches Bewusstsein für Compliance-Anforderungen ist auch bei der Arbeit mit Subunternehmen entscheidend.
Praktische Empfehlungen für eine rechtssichere Archivauflösung
Eine strukturierte Vorgehensweise reduziert sowohl rechtliche Risiken als auch den operativen Aufwand erheblich. Folgende Schritte haben sich in der Praxis bewährt:
- Vollständige Bestandsaufnahme aller vorhandenen Frachtunterlagen, verbunden mit einer Klassifizierung nach Schutzklasse und Aufbewahrungsfrist
- Auswahl eines geeigneten Dienstleisters mit Zertifizierung nach DIN 66399 und nachgewiesener DSGVO-Konformität
- Abschluss des Auftragsverarbeitungsvertrags vor Beginn der Vernichtung
- Sichere Übergabe der Unterlagen in verschlossenen, gekennzeichneten Behältern
- Archivierung der Vernichtungsnachweise als Compliance-Beleg
Paradoxerweise muss also die Dokumentation über die Vernichtung selbst dauerhaft aufbewahrt werden – als Nachweis gegenüber Behörden und im Streitfall. Auch die CSRD-Berichtspflicht zeigt, wie stark Compliance-Anforderungen in der Logistikbranche zunehmen.
Fazit
Die datenschutzkonforme Archivauflösung von Frachtunterlagen ist kein optionaler Mehraufwand, sondern eine rechtliche Pflicht. Wer die Schutzklassen der DIN 66399 kennt, einen Auftragsverarbeitungsvertrag abschließt und lückenlose Vernichtungsnachweise vorhält, ist auf der sicheren Seite. Der wirtschaftliche Schaden durch einen Datenschutzverstoß – Bußgelder, Reputationsverluste, Haftungsansprüche – übersteigt die Kosten einer professionellen Lösung in aller Regel bei Weitem. Lass die Archivauflösung deshalb von zertifizierten Fachleuten begleiten, die sowohl technisch als auch rechtlich kompetent sind.
Häufig gestellte Fragen
Müssen alle Frachtunterlagen nach Ablauf der Aufbewahrungsfrist vernichtet werden?
Grundsätzlich ja. Die DSGVO verpflichtet dazu, personenbezogene Daten zu löschen, sobald der Zweck ihrer Verarbeitung entfällt und keine gesetzliche Aufbewahrungspflicht mehr besteht. Eine passive Aufbewahrung über die Frist hinaus ist nicht erlaubt.
Was passiert, wenn bei der Archivauflösung kein Auftragsverarbeitungsvertrag abgeschlossen wird?
Das Fehlen eines Auftragsverarbeitungsvertrags stellt einen Verstoß gegen Art. 28 DSGVO dar. Datenschutzaufsichtsbehörden können hierfür Bußgelder verhängen, die sich je nach Schwere und Unternehmensgröße auf bis zu vier Prozent des weltweiten Jahresumsatzes belaufen können.
Welche Sicherheitsstufe nach DIN 66399 ist für typische Logistik- und Frachtunterlagen ausreichend?
Für Frachtunterlagen, die personenbezogene Daten wie Namen, Adressen und Unterschriften enthalten, ist mindestens Sicherheitsstufe P-3 erforderlich. Diese entspricht Schutzklasse 2 und gilt für normale personenbezogene Daten sowie Betriebs- und Geschäftsgeheimnisse.